关于云计算风险来源及如何管理
云计算的高速发展为试图重新聚焦关键业务目标的企业带来了许多利好,例如提高产品上市的速度、增加企业竞争的优势以及降低资本和/或运行的开支等等。
通常来说,对诸如软件即服务(SaaS)或基础设施即服务(IaaS)的云计算技术进行投资就能够降低对企业内部传统信息技术部门的服务需求。而由企业业务部门管理(例如培训、人力资源、工资和医疗管理等)的服务也会随着云计算的应用而逐步减少。
虽然投资资本与运营运行的成本有所降低,但是由于黑暗网络中信息经纪人的兴起云计算的风险也有所增加。这些恶意的组织会交易和销售包括个人身份、金融信息乃至知识产权在内的所有信息。
从传统意义上来说,只有保存在公司内部的信息才是安全的,因此实施云计算必然会加剧信息泄露的风险。此外,那些专门从事信息中介业务的人士也让云计算供应商成为了他们的目标,因为他们非常了解他们所控制宝库的相关信息。为了管理好云计算风险,首先了解风险到底是什么将是非常重要的。
云计算风险的来龙去脉
所谓风险,也就是指我们不希望发生的事件发生的概率。在信息安全领域,风险就是一个恶意或非恶意暴露机密信息事件、或威胁数据一致性以及干扰系统和信息可用性事件发生的概率。任何接入互联网的组织都处于风险之中,他们都应考虑黑暗网络的弹性特性和扩展私有云计算和公共云计算网络的能力。数据交换有合法的和非法的,而一家企业的互联网接入就为合法的数据交换(例如电子邮件、VPN以及FTP等)以及诸如恶意软件、信息收集和窃听等敌对性的数据交换提供了的信息传输回路。
敌对数据交换并不是一家组织或者甚至个人所希望进行的数据交换。通常情况下,其结果就是等待恢复的停机时间、收入损失、数据丢失、影响人力资本以及相关名誉受损。如果某个组织是一个受管制行业中的一员,那么这个组织就有可能由于发生敌对事件的原因而受到处罚。即便企业没有受到相关处罚,但是他们也无法承受因发生安全事件丑闻而造成客户流失和商业合作伙伴失去信心这样的严重后果。
一直以来,云计算所倡导的就是:我们可以做得更好,更便宜。你来关注你的核心业务问题,而我们来更具成本效益地管理你的技术并保护你的数据。虽然这有可能是真的,但是云计算供应商也与其他企业面临着相同的挑战。鉴于其特殊的业务模式,云计算供应商可能比一家典型企业面临着更多的挑战。例如,云计算供应商可能会迎合一个利基行业,如信用卡业。如果大家都知道这家云计算供应商掌握了所有客户持有的信用卡信息,那么它也就会成为黑暗信息经纪人的目标。信息经纪人会兜售客户身份或信用卡或者制造伪造的信用卡,而一个成功的黑客可能会从中受益。
云计算供应商的风险还存在于使用云计算服务的客户中。无论客户的物理、逻辑和虚拟隔离和细分的量有多少,云计算基础设施都共享了共同的能源、硬件、应用程序以及网络资源。当云计算服务供应商提供SaaS服务时,它会信任企业用户并让用户自己确保其用户ID和密码的安全性。与之类似,用于访问SaaS的计算资源也必须是安全的。如果企业用户遭到入侵,诸如用户ID和密码等信息被泄露,那么一个经验丰富的信息收集者就有可能会凭此访问SaaS应用程序并确定访问其他客户数据的方法。顷刻之间,其它企业用户的云计算环境的保密性、完整性以及可用性都岌岌可危了。
最后的风险就存在于云计算供应商及其技术专业的水平了。供应商们必须接受风险转移,并理解和遵守相关规定。他们也面临着与其他所有企业相同的挑战,其中尤其是吸引和留住人才。当人力资本不再是云计算供应商成功吸引和留住人才的主要因素时,整个云计算环境就有可能由于一个蚁穴而崩溃。缺乏可扩展性、无法提供丰富的功能集或者无法提供足够的安全性和私密性保障都会影响云计算供应商吸引和留住客户的能力。
风险转移是云计算的一个组成部分,因为供应商必须以合同协议的形式承诺提供一定的服务水平。该服务的一部分涉及到确保信息资产的安全性。如果由于云计算供应商未能对行业最佳实践和法规开展尽职的调查而发生相关恶性事件,那么它就应负责通知受事件影响的相关人员并展开诉讼行动。一家云计算供应商必须做好准备通过审核和认证,以确认其云计算基础设施将仍然保持可用性和安全性。它还必须为响应安全事件而做好准备。即便他们的初衷是良好的,但是诸如零日漏洞攻击这样的事件还是会发生,并渗透到最佳安全架构中。
同样,了解必要的法规也是非常重要的。出于隐私性方面的考虑,金融诚信和国家安全组织通常至少必须遵守一项规定。大多数的组织都会有多个规定需要遵守。以下,让我们来看看一个管理信用卡数据的全国性组织的例子。这家组织必须遵守联邦政府的要求以及那些可能比联邦法律更为严格的特定地区法规。而全球性组织则还需增加一层复杂性,即他们必须遵守美国的法规以及他们开展业务的所在国家的国际性法规。云计算供应商们必须在理解法规以及如何遵守法规方面有大的投入,因为他们的违规也意味着企业用户的违规,而他们有为他们的客户和法规提供合规性保障的最终责任。
风险管理的三项内容
业务专家理解和接受与云计算客户和云计算供应商相关的风险。无论你担任了什么样的角色,要管理什么样不想要发生的潜在事件,都必须实施风险管理。在云计算关系的特定情况下,双方的风险管理工作都是必要的,其中企业用户和云计算供应商都必须拥有成熟的风险管理计划。成熟度是通过一个有管理、有周期性报告以及维持低风险状态定量证据的计划来证明的。
而风险管理则是通过三个内容来实现的:风险识别、风险评估以及风险控制。
风险识别——企业用户必须明确通过云计算投资引入的各种风险。这就能够让企业确保在云计算服务采购过程中务必执行必要的业务控制措施。此外,还应创建和/或更新合适的过程以支持由于云计算相关停用而造成的中断事件。
云计算供应商必须识别风险以确定它最好能够提供哪些云计算服务。一些供应商可能会确定他们更喜欢服务某个特定的行业,因此而成为一个利基供应商,从而减少监管环境。为各种行业的用户提供云计算服务所带来的风险可能会过高。
风险评估——一家企业用户必须了解它的哪些资产价值过高而不能冒把它们外包给第三方服务供应商的风险。相反,当第三方供应商的专业人士能够管理和保护好数据时,此举可有助于企业用户认识到第三方供应商能够提供更好的服务并保护目标的丰富资产。
风险控制——一旦风险已通过识别、评估并进行了量化,我们就可以选择合适的控制措施以便于进行风险控制。在云计算模式中,这是一个需要云计算客户和供应商共同分担的责任,因此他们双方应具有互补的风险管理程序。为云计算供应商的应用程序控制设定期望是云计算用户的责任。而作为云计算供应商,他们应当根据用户的期望来确保控制措施的实施与维护,并为服务等级协议和合规性需求控制提供认证。
对于一些人来说,云计算是有风险的,因为他们认为企业用户需要把企业的资产托付给第三方进行照顾、维护以及保护。但是,鉴于云计算技术在诸如医疗保健、电子商务以及政府管理等领域已得到的高度认可,大家都希望它能够继续保持作为一个降低成本和简化业务运行的外包技术的特色。使用云计算的第一步就是要了解其风险以及应如何进行风险管理。